Nicht wenige innovative Lösungen zur Bekämpfung des Coronavirus haben Auswirkungen auf unsere Privatsphäre. Die Technologie bietet eine Menge Möglichkeiten, aber wollen wir die auf Kosten unserer Privatsphäre? Der Datenschutzexperte Jeroen Terstegge, Partner bei Privacy Management Partners, antwortet auf fünf Fragen, die derzeit diskutiert werden.
Eine App, die hilft, die „Coronabewegungen” zu verfolgen, ist jetzt in den Nachrichten. Geht die niederländische Regierung damit ordnungsgemäß um?
Im Mittelpunkt der Diskussion stehen der Datenschutz und insbesondere Ihre Standortdaten und die Sicherheit. Aber die Privatsphäre ist nicht das größte Problem bei dieser Art von App. Beim Schutz personenbezogener Daten geht es um viel mehr als das.
Was die Corona-App betrifft, so stellen Stigmatisierung und Diskriminierung ein viel größeres Risiko dar. Mit einer solchen App läuft man Gefahr, das Vertrauen ineinander zu untergraben. Wagen wir es noch, in der Nähe eines Anderem Vertrauen zu haben, oder wollen wir zuerst den Status der App des anderen überprüfen? Wie gehen wir in Bezug auf die Eineinhalb-Meter-Regel mit Menschen um, die laut ihrer App ein Kontaktrisiko darstellen und sich nicht selbst isoliert haben? Oder mit Menschen, die ihren Status nicht zeigen wollen oder die App nicht auf ihrem Handy haben? Und was ist mit den Millionen Menschen, die kein Smartphone haben?
Abgesehen davon, dass Corona ein medizinisches Problem ist, besteht auch die Gefahr, dass es zu einem sozialen Problem wird. Die Stigmatisierung und Diskriminierung von Menschen mit einem „Fleck” könnte durchaus wieder zur neuen Normalität werden, wie es früher bei AIDS, der Pest und Lepra der Fall war.
Ich hatte bereits erwähnt, dass unsere größte Herausforderung in Bezug auf personenbezogene Daten darin besteht, wie wir immer mehr Daten über uns selbst sammeln. Diese App ist ein gutes Beispiel dafür. Das GDPR (Allgemeine Datenschutzverordnung der Europäischen Kommission, d. Red.) gilt nicht für den persönlichen Gebrauch von persönlichen Daten, wie z.B. Ihre private Telefonnummern-Liste in Ihrem Telefon. Es ist unwahrscheinlich, dass ein Großteil der Datenverarbeitung in Ihrem Telefon durch diese App unter die GDPR fällt, und zwar aus genau diesem Grund. Das bedeutet auch, dass es keine Aufsicht durch die niederländische Datenschutzbehörde gibt.
Ist es nicht eine Frage des Abwägens: nur ein Gramm weniger Privatsphäre im Austausch für ein Gramm mehr Gesundheit?
Unsere Grundrechte sind immer wichtig, besonders in Krisenzeiten. Wie Louis Brandeis, der „Erfinder des Persönlichkeitsrechts”, bereits 1928 sagte: „Die Erfahrung sollte uns lehren, dass wir am ehesten auf der Hut sein sollten, unsere Freiheit zu schützen, wenn die Zwecke der Regierung wohltätig sind“. In der Tat kann die Regierung unter strengen Bedingungen in Krisenzeiten unsere Grundrechte weitreichend einschränken.
Je größer die Krise ist, desto weitreichender darf die Einschränkung sein. Das gilt auch für unsere Privatsphäre. Aber dann muss die Regierung diese strengen Bedingungen befolgen. Zum Beispiel muss das Handeln der Regierung legitim sein, ob durch Notstandsgesetze oder nicht. Es sollte wirksam und verhältnismäßig sein. Und alle Maßnahmen und ihre Auswirkungen müssen für die Öffentlichkeit durchschaubar sein.
Es geht also nicht um eine Frage der Privatsphäre oder der öffentlichen Gesundheit. Es geht jedoch um den „Schutz der öffentlichen Gesundheit unter gebührender Berücksichtigung der Vorschriften über die Einschränkung der Privatsphäre”. Wenn die Regierung diesen Regeln nicht genügend Beachtung schenkt, läuft sie Gefahr, dass die Gerichte bestimmte Maßnahmen ablehnen. Wie vor kurzem in den Niederlanden mit SyRI (System Risk Indication), einem KI-System, das zur Aufdeckung von Wohlfahrtsbetrug eingesetzt worden wäre.
Apropos GDPR, es geht im Prinzip um alle Bereiche, nicht wahr?
Was die restriktiven Maßnahmen nach sich ziehen können, ist von Sektor zu Sektor und von Thema zu Thema unterschiedlich. Nehmen Sie zum Beispiel den Vorschlag von Minister De Jonge bezüglich des Zugangs zu elektronischen Patientenakten ohne die ausdrückliche vorherige Zustimmung des Patienten. Mit diesem Vorschlag habe ich kein so großes Problem. Im Bereich des Gesundheitsrechts ist uns der Begriff der „mutmaßlichen Einwilligung”, wenn es um den Austausch medizinischer Daten, beispielsweise mit einer Arzthelferin geht, bereits vertraut.
Diese Regel gilt derzeit aber nicht, wenn es um den Austausch von Informationen mit anderen Ärzten geht, die nicht mit einer bestimmten Behandlung in Verbindung stehen. Deshalb müssen Sie Ihre Einwilligung geben, wenn ein Arzt im Krankenhaus die medizinische Akte Ihres Hausarztes einsehen will.
In diesem Beruf sprechen wir oft von „kontextueller Integrität”. Die ist ein sehr nützlicher Maßstab, um festzustellen, ob ein Verstoß akzeptabel ist. Wenn Ärzte in Zeiten einer medizinischen Krise Ihre Daten ohne Ihre vorherige Zustimmung untereinander austauschen, um Ihnen die beste medizinische Behandlung zukommen zu lassen, bleibt die kontextuelle Integrität gewahrt. All dies ist im Interesse Ihrer Gesundheit notwendig.
Dieser Eingriff in die Privatsphäre ist daher weniger schlimm, als wenn Regierungen Telefondaten zum Zweck der Überwachung von Ausgangssperren sammeln würden. In diesem Fall ist die kontextuelle Integrität kompromittiert. In diesem Fall müsste eine solche Regel jedoch nach der Krise aufgehoben werden. Oder als neue Ausnahme gesetzlich verankert werden, aber nur unter strengen Bedingungen für jede künftige Krise.
Home Office ist auf dem Vormarsch. Was ist mit dem Arbeitgeber, der einen Arbeitnehmer über eine Kameraverbindung genau im Auge behalten will?
Das ist ein weiteres Beispiel dafür, dass man sich neben dem GDPR oft auch mit anderen Urteilen auseinandersetzen muss. In diesem Fall kommen beispielsweise auch das innerstaatliche Recht und das Arbeitsrecht ins Spiel. Insbesondere ist der Arbeitgeber dafür verantwortlich, menschenwürdige Arbeitsbedingungen zu gewährleisten, einschließlich eines geeigneten Stuhls, der für die Arbeit von zu Hause aus geeignet ist. Oder, dass man regelmäßige Pausen einlegt, wenn man den ganzen Tag am Bildschirm arbeitet.
Nach innerstaatlichem Recht ist es einem Arbeitgeber jedoch nicht gestattet, Sie zu aufzusuchen, um zu überprüfen, ob Sie sich an diese Regeln halten. Es geht nicht, dass Sie Ihren Mitarbeiter, der von zu Hause arbeitet, bitten, seine Webcam den ganzen Tag einzuschalten. Ich bekomme auch Anfragen von Schulen, ob sie vorschreiben können, dass Schüler ihre Webcam während der Prüfungen einschalten müssen. Ich denke, das ist völlig akzeptabel.
Jedenfalls scheinen die Bildungsregularien bestimmte Bedingungen zu bieten, unter denen das vorgeschrieben werden könnte. Im Hinblick auf das Transparenzgebot muss es aber in der Prüfungsordnung entsprechend festgelegt werden.
Es gibt weitere Beispiele dafür, was technisch möglich ist und mit den Datenschutzgesetzen in Konflikt geraten könnte. So sind Berichten zufolge beispielsweise die Anfragen nach dem Einsatz von Wärmekameras zur Aufzeichnung der Temperatur von Mitarbeitern oder Besuchern eines Gebäudes stark angestiegen. Dann lautet meine erste Reaktion: „Ist diese Kamera technisch in der Lage, einen Temperaturanstieg von einigen Zehntel Grad bei jemandem festzustellen?“
Bezüglich der Privatsphäre müssen die Mittel angemessen sein, wenn es darum geht, das Ziel zu erreichen. Und kann das Ziel nicht auch ohne Eindringen in die Privatsphäre erreicht werden, etwa indem man die Menschen ihre eigene Temperatur messen lässt? Gerade bei biometrischen Systemen, wie z.B. Wärmekameras, muss sich das GDPR erst mit diesen Fragen befassen.
Video-Chats und Videokonferenzen über Zoom haben Bedenken ausgelöst. Sind die gerechtfertigt?
Auf dem Papier scheint Zoom in Bezug auf das AVG gute Arbeit geleistet zu haben. Sie haben einen Standard-Hosting-Vertrag für ihre Geschäftskunden. Außerdem gibt es eine Datenschutzerklärung, die in der Zwischenzeit erheblich geändert wurde. Sie sind auch unter dem PrivacyShield für Datenübertragungen in die Vereinigten Staaten registriert.
Aber selbst wenn etwas auf dem Papier ordnungsgemäß geregelt wurde, bedeutet das nicht, dass es auch tatsächlich sicher ist. In den letzten Wochen sind verschiedene Datenschutz- und Sicherheitsfragen aufgekommen. So gab es zum Beispiel einen Link zu Facebook. Manager konnten mittels Attention Tracking feststellen, ob die Teilnehmer der Sitzung einen anderen Bildschirm geöffnet hatten. Benutzer litten unter Zoom-Bombing (Einbruch in Zoom-Sitzungen). Die Verschlüsselung erwies sich schließlich doch als nicht durchgängig, und so weiter.
Insofern ist es gut, dass diese Probleme umgehend gelöst werden. Aber die Vielzahl der Probleme, mit denen Zoom zu tun hat, deutet darauf hin, dass Privatsphäre und Sicherheit nicht Teil ihrer DNA sind. Für Arbeitgeber bedeutet das, dass sie zunächst alle Apps und Geräte, mit denen die Mitarbeiter arbeiten, sorgfältig auf Datenschutz- und Sicherheitsprobleme überprüfen, bevor sie sie benutzen dürfen. Unter normalen Umständen tun sie das auch. Angesichts dieser Coronakrise, bei der alle schnell reagieren mussten, stellte sich jedoch heraus, dass diese Art von Regeln als erste gebrochen wurden. Das AVG bleibt auch in dieser Krise voll in Kraft.